Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Antes de usar el servicio Azure Rights Management para cifrar el contenido de su organización, comprenda cómo funciona el servicio con cuentas de usuarios y grupos en Microsoft Entra id.
Hay diferentes maneras de crear estas cuentas para usuarios y grupos, entre las que se incluyen:
Los usuarios se crean en el Centro de administración de Microsoft 365 y los grupos del centro de administración de Exchange Online.
Los usuarios y grupos se crean en el Azure Portal.
Los usuarios y el grupo se crean mediante cmdlets de PowerShell.
Los usuarios y grupos se crean en el Active Directory local y se sincronizan con Microsoft Entra identificador.
Los usuarios y grupos se crean en otro directorio y se sincronizan con Microsoft Entra identificador.
Al crear usuarios y grupos mediante los tres primeros métodos de esta lista, con una excepción, se crean automáticamente en Microsoft Entra identificador y el servicio de Azure Rights Management puede usar estas cuentas directamente. Sin embargo, algunas redes empresariales usan un directorio local para crear y administrar usuarios y grupos. El servicio Azure Rights Management no puede usar estas cuentas directamente; debe sincronizarlas con Microsoft Entra identificador.
La excepción a la que se hace referencia en el párrafo anterior son las listas de distribución dinámica que puede crear para Exchange Online. A diferencia de las listas de distribución estática, estos grupos no se replican en Microsoft Entra identificador, por lo que el servicio de Azure Rights Management no puede usar.
Uso de usuarios y grupos por el servicio Azure Rights Management
Hay dos escenarios para usar usuarios y grupos con el servicio Azure Rights Management:
Para la configuración de cifrado cuando se usa el servicio Azure Rights Management para cifrar documentos y correos electrónicos. Los administradores y usuarios pueden seleccionar usuarios y grupos que puedan abrir el contenido cifrado y, además,:
Derechos de uso que determinan cómo pueden usar el contenido. Por ejemplo, si solo pueden leerlo, leerlo e imprimirlo, o leerlo y editarlo.
Los controles de acceso incluyen una fecha de expiración y si se requiere una conexión a Internet para el acceso.
Para configurar el servicio de Azure Rights Management para admitir escenarios específicos y, por lo tanto, solo los administradores seleccionan estos grupos. Algunos ejemplos son la configuración de lo siguiente:
Superusuarios, para que los servicios o personas designados puedan abrir contenido cifrado si es necesario para la eDiscovery o la recuperación de datos.
Administración delegada del servicio de Azure Rights Management.
Incorporación de controles para admitir una implementación por fases.
Azure Rights Management requisitos de servicio para cuentas de usuario
Para la configuración de cifrado y la configuración del servicio de Azure Rights Management:
Para autorizar a los usuarios, se usan dos atributos en Microsoft Entra id. : proxyAddresses y userPrincipalName.
El atributo Microsoft Entra proxyAddresses almacena todas las direcciones de correo electrónico de una cuenta y se puede rellenar de diferentes maneras. Por ejemplo, un usuario de Microsoft 365 que tiene un buzón de Exchange Online tiene automáticamente una dirección de correo electrónico almacenada en este atributo. Si asigna una dirección de correo electrónico alternativa para un usuario de Microsoft 365, también se guarda en este atributo. También se puede rellenar mediante las direcciones de correo electrónico que se sincronizan desde cuentas locales.
El servicio Azure Rights Management puede usar cualquier valor de este atributo proxyAddresses de Microsoft Entra, siempre que el dominio se haya agregado al inquilino (un "dominio comprobado"). Para obtener más información sobre cómo comprobar dominios:
Para Microsoft Entra identificador: agregue un nombre de dominio personalizado a Microsoft Entra id.
Para Microsoft 365: Agregar un dominio a Microsoft 365
El atributo userPrincipalName de Microsoft Entra solo se usa cuando una cuenta del inquilino no tiene valores en el atributo Microsoft Entra proxyAddresses. Por ejemplo, crea un usuario en el Azure Portal o crea un usuario para Microsoft 365 que no tiene un buzón de correo.
Configuración de cifrado para usuarios externos
Además de usar el Microsoft Entra proxyAddresses y Microsoft Entra userPrincipalName para los usuarios del inquilino, el servicio Azure Rights Management también usa estos atributos de la misma manera para autorizar a los usuarios de otro inquilino.
Otros métodos de autorización:
En el caso de las direcciones de correo electrónico que no están en Microsoft Entra identificador, el servicio de Azure Rights Management puede autorizarlas cuando se autentican con una cuenta microsoft. Sin embargo, no todas las aplicaciones pueden abrir contenido cifrado cuando se usa una cuenta Microsoft para la autenticación.
Cuando se envía un correo electrónico mediante Cifrado de mensajes de Microsoft Purview a un usuario que no tiene una cuenta en Microsoft Entra identificador, el usuario se autentica primero mediante la federación con un proveedor de identidades sociales o mediante un código de acceso único. A continuación, se usa la dirección de correo electrónico especificada en el correo electrónico protegido para autorizar al usuario.
Azure Rights Management requisitos de servicio para cuentas de grupo
Para asignar derechos de uso y controles de acceso:
- Puede usar cualquier tipo de grupo en Microsoft Entra identificador que tenga una dirección de correo electrónico que contenga un dominio comprobado para el inquilino del usuario. A menudo se hace referencia a un grupo que tiene una dirección de correo electrónico como un grupo habilitado para correo.
Para configurar el servicio Azure Rights Management:
Puede usar cualquier tipo de grupo en Microsoft Entra identificador que tenga una dirección de correo electrónico de un dominio comprobado en el inquilino, con una excepción. Esa excepción se produce al configurar los controles de incorporación para usar un grupo, que debe ser un grupo de seguridad en Microsoft Entra identificador para el inquilino.
Puede usar cualquier grupo de Microsoft Entra id. (con o sin una dirección de correo electrónico) desde un dominio comprobado en el inquilino para la administración delegada del servicio Azure Rights Management.
Configuración de cifrado para grupos externos
Además de usar el Microsoft Entra proxyAddresses para los grupos del inquilino, el servicio Azure Rights Management también usa este atributo de la misma manera para autorizar grupos de otro inquilino.
Uso de cuentas de Active Directory local
Si tiene cuentas administradas localmente que desea usar con el servicio Azure Rights Management, debe sincronizarlas con Microsoft Entra identificador. Para facilitar la implementación, se recomienda usar Microsoft Entra Connect. Sin embargo, puede usar cualquier método de sincronización de directorios que logre el mismo resultado.
Al sincronizar las cuentas, no es necesario sincronizar todos los atributos. Para obtener una lista de los atributos que se deben sincronizar, consulte la sección Azure RMS de la documentación de Microsoft Entra.
En la lista de atributos de Azure Rights Management, verá que para los usuarios, los atributos de AD locales de mail, proxyAddresses y userPrincipalName son necesarios para la sincronización. Los valores de mail y proxyAddresses se sincronizan con el atributo proxyAddresses Microsoft Entra. Para obtener más información, vea Cómo se rellena el atributo proxyAddresses en Microsoft Entra id.
Consideraciones si cambian las direcciones de correo electrónico
Si cambia la dirección de correo electrónico de un usuario o grupo, se recomienda agregar la dirección de correo electrónico antigua como una segunda dirección de correo electrónico (también conocida como dirección de proxy, alias o dirección de correo electrónico alternativa) al usuario o grupo. Al hacerlo, la dirección de correo electrónico antigua se agrega al atributo proxyAddresses de Microsoft Entra. Esta administración de cuentas garantiza la continuidad empresarial de los derechos de uso u otras configuraciones que se guardaron cuando la dirección de correo electrónico anterior estaba en uso.
Si no puede hacerlo, el usuario o grupo con la nueva dirección de correo electrónico corre el riesgo de que se le deniegue el acceso a documentos y correos electrónicos que anteriormente estaban protegidos con la dirección de correo electrónico anterior. En este caso, debe repetir la configuración de protección para guardar la nueva dirección de correo electrónico. Por ejemplo, si al usuario o grupo se le concedieron derechos de uso en plantillas o etiquetas, edite esas plantillas o etiquetas y especifique la nueva dirección de correo electrónico con los mismos derechos de uso que concedió a la dirección de correo electrónico anterior.
Tenga en cuenta que es poco frecuente que un grupo cambie su dirección de correo electrónico y, si asigna derechos de uso a un grupo en lugar de a usuarios individuales, no importa si cambia la dirección de correo electrónico del usuario. En este escenario, los derechos de uso se asignan a la dirección de correo electrónico del grupo y no a las direcciones de correo electrónico de usuario individuales. Este es el método más probable (y recomendado) para que un administrador configure los derechos de uso que protegen documentos y correos electrónicos. Sin embargo, es posible que los usuarios asignen más permisos personalizados para usuarios individuales. Dado que no siempre puede saber si se ha usado una cuenta de usuario o un grupo para conceder acceso, es más seguro agregar siempre la dirección de correo electrónico antigua como una segunda dirección de correo electrónico.
Almacenamiento en caché de pertenencia a grupos
Por motivos de rendimiento, el servicio Azure Rights Management almacena en caché la pertenencia a grupos. Este almacenamiento en caché significa que cualquier cambio en la pertenencia a grupos en Microsoft Entra identificador puede tardar hasta tres horas en surtir efecto cuando el servicio de Azure Rights Management usa estos grupos y este período de tiempo está sujeto a cambios.
No olvide tener en cuenta este retraso en los cambios o pruebas que realice al usar grupos para conceder derechos de uso o configurar el servicio de Azure Rights Management.
Pasos siguientes
Cuando haya confirmado que los usuarios y grupos se pueden usar con el servicio Azure Rights Management, compruebe si necesita activar el servicio Azure Rights Management:
A partir de febrero de 2018: si la suscripción que incluye Azure Rights Management o Microsoft Purview Information Protection se obtuvo durante o después de este mes, el servicio se activa automáticamente.
Si la suscripción se obtuvo antes de febrero de 2018: debe activar el servicio usted mismo.
Para obtener más información, que incluye la comprobación del estado de activación, vea Activar el servicio de Azure Rights Management.